TLS 1.1 w SUPLA w wersji dockerowej

[Goral64]

Jak sprawdzasz, które wersje są wspierane?

Ja sprawdzam poleceniem opennssl

Code: Select all

openssl s_client -connect <host>:<port> -tls<ver>

gdzie ver to 1, 1_1, 1_2 lub 1_3

A przy okazji certyfikat lokalnego serwera na porcie 2016 już wygasł jakiś czas temu... moglibyście wrzucić nowy

Code: Select all

verify error:num=10:certificate has expired
notAfter=Dec 12 23:36:01 2021 GMT

[klew]

Jak sprawdzasz, które wersje są wspierane?

Ja sprawdzam poleceniem opennssl

Code: Select all

openssl s_client -connect <host>:<port> -tls<ver>

gdzie ver to 1, 1_1, 1_2 lub 1_3

Dzięki

To pozwoliło mi zdebugować co się dzieje u mnie po zainstalowaniu aktualnego servera i clouda.

Jak próbowałem użyć TLS 1.1 lub 1.0, to dostawałem błędy w stylu:

Code: Select all

$ openssl s_client -connect 192.168.8.97:2016 -tls1_1

CONNECTED(00000003)
140427155138368:error:141E70BF:SSL routines:tls_construct_client_hello:no protocols available:../ssl/statem/statem_clnt.c:1113:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 7 bytes
Verification: OK

Analogicznie dla TLS 1.0.

Okazało się, że to nie jest problem po stronie serwera Supli tylko po mojej.
Domyślnie openssl u mnie (Ubuntu) ma wyłączone wsparcie dla starych wersji TLS, które są "deprecated". Aby działało, musiał edytować plik konfiguracyjny openssl na moim kompie i zezwolić na starsze wersje.
Zmiany w pliku zgodnie z: https://askubuntu.com/a/1233456

Po tym zabiegu:

Code: Select all

$ openssl s_client -connect 192.168.8.97:2016 -tls1

CONNECTED(00000003)
....
New, TLSv1.0, Cipher is ECDHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
...
SSL-Session:
    Protocol  : TLSv1
    Cipher    : ECDHE-RSA-AES256-SHA

Działa zarówno na publicznych serwerach jak i na dockerze.

[djack2017]

Mam przyjemność poinformować, że po kilkumiesięcznej przerwie dostarczamy nowe wydanie SUPLI - Cloud v2.3.36, Core v2.3.51.
Oto zgrubna lista zmian dotycząca całej infrastruktury:

• kontenery dockerowe używają teraz LibreSSL 3.4.2, dzięki czemu wspierają więcej wersji protokołu TLS

Niestety nie wspierają. Nic się nie zmieniło w stosunku do poprzednich wersji.

Jestem trochę zielony jeśli chodzi o szyfrowane połączenia, TLS-y itp.
Tych starszych wersji TLS chcesz używać na intefejsie z cloudem (https) czy z serwerem (port 2016)?
Jak sprawdzasz, które wersje są wspierane?

Po https.
Strona do testowania SSL serwera:
https://www.ssllabs.com/ssltest/

[klew]

Niestety nie wspierają. Nic się nie zmieniło w stosunku do poprzednich wersji.

Jestem trochę zielony jeśli chodzi o szyfrowane połączenia, TLS-y itp.
Tych starszych wersji TLS chcesz używać na intefejsie z cloudem (https) czy z serwerem (port 2016)?
Jak sprawdzasz, które wersje są wspierane?

Po https.
Strona do testowania SSL serwera:
https://www.ssllabs.com/ssltest/

Odpaliłem na publicznym serwerze i TLS1.0 i 1.1 jest wspierany. Niestety nie mam tego jak odpalić na prywatnym bo nie mam wystawionych ip na zewnątrz, ale sprawdzając komendą openssl wygląda jakby te starsze wersje były wspierane.
Rozumiem, że ta strona testuje połączenie po https, a więc chodzi Ci o szyfrowane połączenie z Cloudem, a nie na porcie 2016 dla urządzeń?
W jakim celu to jest potrzebne? Obie wersje tych protokołów zostały formalnie wycofane (jest na to dokument RFC), bo nie są uznawane za bezpieczne.
Nawet ta strona ssllabs dała niższą ocenę bezpieczeństwa dla serwerów Supli ze względu na akceptację tych starszych wersji oraz kilku innych protokołów.

[fracz]

Strona do testowania SSL serwera:
https://www.ssllabs.com/ssltest/

Przecież ta sprawdzarka nie sprawdzi certyfikatu ani protokołu serwera, bo tam nie można podać portu.

Sprawdzasz hosta (port 443), czyli to co serwery oficjalne wystawiają wg naszych wewnętrznych polityk. Jeśli testujesz w ten sposób swoją instancję, dostajesz to, co wystawiasz ze swojego proxy (nginx?). Nie mamy na to wpływu, musisz poszukać jak to zmienić w Twoim proxy.

[djack2017]

Strona do testowania SSL serwera:
https://www.ssllabs.com/ssltest/

Przecież ta sprawdzarka nie sprawdzi certyfikatu ani protokołu serwera, bo tam nie można podać portu.

Sprawdzasz hosta (port 443), czyli to co serwery oficjalne wystawiają wg naszych wewnętrznych polityk. Jeśli testujesz w ten sposób swoją instancję, dostajesz to, co wystawiasz ze swojego proxy (nginx?). Nie mamy na to wpływu, musisz poszukać jak to zmienić w Twoim proxy.

Też na to właśnie wpadłem i sprawdzam proxy Let's Encrypt

[djack2017]

Strona do testowania SSL serwera:
https://www.ssllabs.com/ssltest/

Przecież ta sprawdzarka nie sprawdzi certyfikatu ani protokołu serwera, bo tam nie można podać portu.
Sprawdzasz hosta (port 443), czyli to co serwery oficjalne wystawiają wg naszych wewnętrznych polityk. Jeśli testujesz w ten sposób swoją instancję, dostajesz to, co wystawiasz ze swojego proxy (nginx?). Nie mamy na to wpływu, musisz poszukać jak to zmienić w Twoim proxy.

Też na to właśnie wpadłem i sprawdzam proxy Let's Encrypt

Wszystko jest ok. Supla obsługuje wszystkie warianty TLS i Cipher Suites co trzeba. Sorry za zamieszanie.